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£j (57) Abstract: The invention concerns a microprocessor smart card module (10) designed to exchange a message M with the module 
user, comprising means for graphic encoding of said message with a computer mask. 

O 

(57) AbregS : Un module 10 de carte a puce a microprocesseur apte a echanger un message M avec 1 ' utilisateur du module, comprend 
^ des moyens de codage graphique dudit message par un masque informatique. 



wo 02/15133 ai i mil loiioi i uifli iidi 111 1 d in nil urn mi nn n iiijid iiii rii en 



DK, DM, DZ, EC, EE, ES, FI, GB, GD, GE, GH, GM, HR, 
HU, ID, IL, IN, IS, JP, KE, KG, KP, KR, KZ, LC, LK, LR, 
LS, LT, LU, LV t MA, MD, MG, MK, MN, MW, MX, MZ, NO, 
NZ, PL, PT, RO, RU, SD, SE, SG, SI, SK, SL, TJ, TM, TR, 
TT, 7Z UA, UG, UZ, VN, YU, ZA, ZW, brevet ARIPO (GH, 
GM, KE, LS, MW, MZ, SD, SL, SZ, TZ, UG, ZW), brevet 
eurasien (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM), brevet 
europ&en (AT, BE, CH, CY, DE, DK, ES, FI, FR, GB, GR, 
IE, IT, LU, MC, NL, PT, SE, TR), brevet OAPI (BF, BJ, CF, 

CG, CI, CM, GA, GN, GQ, GW, ML, MR, NE, SN, TD, TG) 
— relative au droit du deposant de demander et d'obtenir un 

brevet (regie 4.I7.H)) pour les designations suivantes AE, 
AG, AL, AM, AT, AU, AZ, BA, BB, BG, BR, BY, BZ CA, 

CH, CN, CO, CR, CU, CZ, DE, DK, DM, DZ, EC, EE, ES, 
FI, GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, 
KG, KP,KR,KZ } LC, LK, LR, LS, LT, LU, LV,MA, MD, MG, 
MK, MN, MW, MX, MZ, NO, NZ, PL, PT, RO, RU, SD, SE, 
SG, SI, SK, SL, TJ, TM, TR, TT, TZ, UA, UG, UZ, VN, YU, 
ZA, ZW, brevet ARIPO (GH, GM, KE, LS, MW, MZ, SD, 



SL, SZ TZ, UG, ZW), brevet eurasien (AM, AZ, BY, KG, 
KZ, MD, RU, TJ, TM), brevet europien (AT, BE, CH, CY, 
DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, NL, PT, SE, 
TR), brevet OAPI (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, 
GW, ML, MR, NE, SN, TD, TG) 

— relative au droit du diposant de revendiquer la priority 
de la demande antirieure (regie 4. 1 7. Hi)) pour toutes les 
designations 

— relative a la quality d'inventeur (rkgle 4.17.iv)) pour US 
seulement 



En ce qui concerne les codes a deux lettres et autres abrevia- 
tions, se rifirer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numiro ordinaire de 
la Gazette du PCT. 



Publife : 

— avec rapport de recherche international 



WO 02/15133 



PCT/FR01/02455 



MODULE DE CARTE A PUCE APTE A E CHANGER UN 
MESSAGE AVEC L' UTILISATEUR DU MODULE 

L 1 invention concerne un module cie carte a- puce £ 
microprocesseur apte £ echanger un message avec 
1 'utilisateur de ce module. 

L 1 invention concerne egalement un systeme incluant 
5 un tel module et un masque de d£codage. 

L f invention a Egalement pour objet un procede 
d* utilisation d'un tel module, 

Le domaine de l 1 invention est celui de la 
cryptographie visuelle appliquee k la securisation 
10 d'une communication entre une carte a puce a 
•microprocesseur notamment les cartes de paiement, et 
son utilisateur. . . 

La carte a puce peut etre une carte S contact et/ou 
sans contact . 

15 La chaine de communication entre une carte et son 

utilisateur n'est pas toujours sflre. 

En effet, lorsque par exemple un utilisateur 
utilise une carte de paiement chez un commergant, la 
transaction s 1 ef f ectue a travers un terminal avec 

20 lequel la carte communique. Ce terminal sera d^nomme 
dans la suite terminal lecteur de carte a puce. Le 
commergant saisit un montant sur le clavier du terminal 
lecteur de carte a puce. Ce lecteur affiche ce montant 
sur son ecran d'affichage. En cas d' accord sur le 

25 montant, 1 ' utilisateur valide la transaction de debit 
en saisissant sur le terminal lecteur de carte £ puce, 
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le code secret de sa carte. Le terminal lecteur de 
• carte a puce envoie alors a la carte des informations 
de transaction incluant ce montant complete du code et 
d'autres informations transparentes pour 1 1 utilisateur , 
5 notamment des informations identifiant le commergant. 
La carte crypte alors 1' ensemble de ces informations 
(signe la transaction) , et envoie via le terminal 
lecteur de carte 3. puce, ce cryptogramme au serveur 
distant charge de virer le montant, du compte bancaire 
10 de 1 1 utilisateur vers celui du commergant . 

Dans le cas d'une carte de type porte-monnaie 
electronique , la carte elle-meme dispose d'un certain 
credit . Le montant est directement debite de la carte ; 
il n'y a pas de serveur distant. 
15 Mais dans un cas comme dans 1' autre, 1 1 utilisateur 

n'a aucun control e sur ce qui est ^change entre la 
carte et le terminal lecteur de carte a puce. Ce que le 
terminal lecteur de carte a puce affiche peut ne pas 
correspondre a ce qui sera envoye a la carte- : le 
20 terminal lecteur de carte a puce peut afficher un 
. montant et demander a la carte d'en debit er un autre ou 
" enregistrer le code secret et demander par exemple £ la 
carte de debiter plusieurs fois le meme montant en lui 
fournissant plusieurs fois le code secret. 
25 On a pris le paiement comme exemple mais on peut 

generaliser le probleme a toute transaction basee sur 
un echange entre la carte et son utilisateur. 

L 1 invention a pour but que la transaction soit 
validee par 1 1 utilisateur de fagon securisee et que 
30 cette validation ne soit valable que pour une seule 
transaction, c'est-a-dire que la communication entre la 
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carte et 1 1 utilisateur via un terminal lecteur de carte 
a puce non securise, soit elle-m§me securisee. . 

La carte doit pouvoir emettre une information 
secrete a destination de 1 1 utilisateur, telle que seul 
5 * 1 'utilisateur puisse prendre connaissance de cette 
information. De plus, cette information ne doit pas 
etre modifiee par les intermediaires entre la carte et 
1 'utilisateur , sans que cette modification ne soit 
detectee par 1 1 utilisateur . 
10 Les problemes de securisation dans le domaine des 

cartes a puce a microprocesseur sont souvent resolus en 
faisant appel a des calculateurs crypt ographiques plus 
performants dans le domaihe des calculs que le cerveau 
humain. En revanche, le systeme visuel humain est plus 
15 performant que les calculateurs dans le domaine de la 
reconnaissance de forme. 

L 1 inventeur a ainsi applique au probleme pose la 
methode de cryptographie visuelle decrite dans 
1 ! article "Visual Cryptography" de M. Naor et A. Shamir 
20 presente a la conference EuroCrypt 1 94 . Le probleme 
considere par ces auteurs est de coder un support ecrit 
en noir et blanc d'une maniere parfaitement sure et 
telle que le support puisse §tre decode directement par 
le systeme visuel humain sans calculs crypt ographiques . 
25 La solution proposee consiste 3. considerer une page 
imprimee de texte chiffre en noir et blanc et un 
support transparent imprime en noir et blanc egalement 
qui est la cle secrete. Le texte original est r£v£le en 
superposant le support transparent avec sa clS sur la 
30 • page de texte chiffre alors que chacun des supports ne 
peut etre differencie d'un bruit aleatoire. 
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L' invention a pour objet un module de carte a puce 
a microprocesseur apte . a echanger • un message avec 
1 'utilisateur du module, principalement caracterise en 
ce qu ' il comprend des moyens de codage graphique dudit 
5 message par. un masque inf ormatique . 

Selon une caracteristique de 1' invention, le 
module comprend en outre un gSnerateur de nombre 
aleatoire et des moyens d' association d'un tel nombre 
' au message a coder. 
10 Selon une autre caracteristique de 1' invention, le 

module comprend des moyens d'ajout d'un bruit aleatoire 
au message code. 

Le module etant apte a. etre relie a un ecran, il 
comprend avantageusement des moyens de commande de 
15 I'affichage du message code sur ledit ecran et 
event uellement des moyens de commande de I'affichage du 
message code a des endroits aleatoires de 1' ecran. 

Selon une caracteristique de 1' invention, le 
message etant un texte' alphanum^rique, le module 
20 comprend des moyens de commande de 1'affichage & 
1' ecran du message code, selon differentes polices de 
caracteres . 

La carte a puce peut etre urie carte de type porte- 
monnaie £lectronique . 

25 L' invention concerne egalement un dispositif de 

securisation d ! un message entre un module de carte a 
puce a microprocesseur et son utilisateur, caracterise 
en ce qu'il comprend un module tel que ' decrit 
precedemment et un masque de decodage dont dispose 

30 1' utilisateur, ledit masque de decodage, representation 
visuelle du masque informatique sur un support' 
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translucide, permettant de dgchiffrer visuellement le 
message code. 

Le masque de decodage peut etre const itue de 
plus i eur s sous -masques . 
5 Le module peut etre integrS dans un corps de carte 

a puce ainsi que le masque de decodage. 

L' invention concerne aussi un systeme de 
securisation d'un message entre un module de carte k 
puce a microprocesseur et son utilisateur, caracterise 
10 en ce qu'il comprend un dispositif tel que decrit 
prec^demment et un ecran d'affichage apte a afficher le 
message code genere par le module. 

Le masque de decodage est pref Srentiellement de 
meme format que 1' ecran d'affichage. 
15 L' invention concerne enfin un procSde de 

securisation de 1'echange d'un message, entre un module 
de carte k puce a microprocesseur comprenant des moyens 
de codage graphique dudit message par un masque 
inf ormat ique, et 1 ' utilisateur dudit module' disposant 
.20 lui-meme d'un masque de decodage, representation 
visuelle du masque inf ormat ique sur un support 
translucide, l'echange entre la carte £ microprocesseur 
et 1 1 utilisateur s'effectuant k travers un terminal 
lecteur de carte a puce disposant d'un ecran 
25 d'affichage et d'un dispositif de saisie et apte a 
echanger avec le module de carte a microprocesseur des 
informations de transaction incluant ledit message, 
caracterise en ce qu'il comprend les etapes suivantes : 
a) le terminal lecteur de carte a puce envoie les 
30 informations de transaction au module, 
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b) le module extrait le message des informations de 
transaction, 

c) le module transforme le .message en une image 
codee et commande l'affichage de ladite image codee sur 

'5 1 1 ecran du terminal lecteur de carte a puce, 

d) 1' utilisateur superpose le masque de decodage 
sur 1' image codee affichee sur 1 1 ecran pour dechiffrer 
le message, 

e) en cas d' accord sur le montant, 1 ' utilisateur 
10 valide le montant et le module lance la transaction, 

annule la transaction sinon. 

L'etape e) peut etre remplacee par les etapes 
suivantes 

15 e) en cas d' accord sur le montant, 1 ' utilisateur 

valide le montant sur le dispositif de saisie du 
terminal qui transmet cette validation au module, sinon 
1 ' utilisateur annule la transaction, 

f) en cas- de validation, le module lance la 
20 transaction et donne la preuve de la transaction au 

terminal lecteur de carte a. puce, annule la transaction 
sinon. 

L'etape suivante peut etre inseree ' aprds 
25 l'etape b) : 

le module genere une suite aleatoire N de 
caractdres alphahumeriques et l'associe au message, 

et les etapes c) & f) remplacees par les etapes 
suivantes : 

30 c) le module transforme le message auquel la suite 

N a ete associee, en une image codee et commande 



WO 02/15133 PCT/FR01/02455 

7 

1'affichage de ladite image codee sur l'ecran du 
terminal lecteur de carte a puce, 

d) l'utilisateur superpose le masque de decodage 
sur 1 1 image affichee sur l'ecran pour dechiffrer la 

5 suite N et le message, 

e) en cas de lisibilite de la suite N et d' accord 
sur le montant, l'utilisateur saisit la suite N sur le 
dispositif de saisie du terminal qui transmet N au 
module, sinon l'utilisateur annule la transaction, 

10 f ) le module compare la suite N regue avec la suite 

N envoyee, 

g) en cas de concordance, le module lance la 
transaction et donne la preuve de la transaction au 
terminal lecteur de carte a puce, annule la transaction 
15 sinon. 

D'autres particularites et avantages de 1* invention 
apparaitront clairement a la lecture de la description 
faite a titre d'exemple non limitatif et em. regard des 
20 dessins annexes sur lesquels : 

les figures la) et lb) illustrent sur un exemple le 
principe de l 1 invention, 

la figure 2 est la table de verite de la fonction 
XOR que 1 1 on obtient par la superposition des deux 
25 supports, 

les. figures 3a), 3b) sont les tables de verite 
representant la superposition . de deux points 
respect ivement noirs ou blancs, ou colores selon un 
mode de realisation de 1 1 invention, 
30 la figure 4 represente un terminal lecteur de carte 

a puce, 
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la figure 5 reprSsente un schema d'une carte £ puce 
a microprocesseur . 

L'exemple represents sur les figures la) et lb) 
5 illustre le principe du codage et du dScodage d'un 
montant M, en 1 ' occurrence le nombre 11 42". 

Lorsque le commergant a saisi le montant M sur le 
terminal lecteur de carte a puce, le terminal affiche 
ce montant- sur un ecran du terminal lecteur de carte & 
10 puce afin que le cotnmergant puisse verifier que le 
montant affichS correspond bien a ce qu'il a saisi sur 
le terminal lecteur de carte a puce. Le terminal 
lecteur de carte £ puce envoie alors £ la carte les 
informations de transaction contenant le montant M. On 
15 distingue deux composantes pour M : sa representation 
informatique Mi et sa representation visuelle Mv telle 
qu'elle apparaxt sur 1" ecran d'affichage du terminal 
lecteur de carte a puce. 

Comme represents figure la) , la carte applique une 
20 cle de chif frement Ci au montant Mi. Dans la suite, on 
entendra par carte, le module comportant la puce de 
circuit integre. La cle de chif frement consiste en un 
codage graphique sous forme informatique que l'on 
appellera masque informatique Ci : il s'agit d'une 
25 repartition tiree au hasard de points de deux couleurs 
differentes. La representation visuelle de ce masque 
informatique Ci est un masque Cv. 

En appliquant sous forme informatique le masque Ci 
au montant Mi, la carte transforme ainsi Mi en un 
30 message code MCi et commande l'affichage de 1 1 image de 
MCi sur 1' ecran du terminal lecteur de carte a puce. 
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Cette image apparait sous forme d'une repartition MCv 
de points de . deux couleurs differentes. Finalement, le 
message code MCv est le masque Cv sur lequel certains 
points oht ete inverses, c'est-^-dire sont passes d'une 
5 couleur 1' autre. Les points inverses sont ceux de' la 
representation graphique du montant M, c'est-a-dire de 
Mv. Visuellement , 1 1 image MCv se prlsente egalement 
sous . la forme d'une repartition aleatoire de points de 
deux couleurs differentes. L'ecran sur lequel s ! affiche 
10 le message code MCv peut etre different de 1' Scran 
d'affichage destine a l 1 usage du commergant; le 
terminal lecteur de carte a puce dispose alors de deux 
Scrans d'affichage, l'un pour l f affichage en clair du 
montant destine au commergant, .1 ' autre pour l'affichage 
15 du message code destine 1 'utilisateur . On note Eu 
l'ecran destine a 1 'utilisateur. 

Comme represents figure lb) , l'utilisateur 
superpose alors sur 1 1 image MCv qui s'affiche sur 
l'ecran Eu, un masque de dScodage correspondant au 
20 masque Cv imprimS sur un support translucide : la 
superposition du masque de dScodage Cv . sur le message 
code MCv revile la forme "42" du montant M d'origine, 
c'est-a-dire Mv. 

Le masque Cv peut lui-meme rSsulter de la 
25 superposition de plusieurs sous-masques. 

Les superpositions indiquees sur les figures la) et ■' 
lb) par le signe + dans un cercle, sont representees 
par la fonction "ou exclusif" aussi notee XOR, dont la 
table de veritS est representee figure 2. En 
30 superposant comme represents figure 3a) , des supports 
eh noir et blanc, un point noir etant represents par 
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"1", un point blanc ou transparent par "0", on obtient 
le resultat escomptS sauf pour la superposition de- deux 
points noirs pour . laquelle on obtient un point noir, 
alors que l'on souhaite obtenir un point blanc - Ce 
5 probleme est resolu dans 1' article "Visual 
Cryptography" en particulier en augmentant le nombre de 
points . 

Selon un mode de realisation de 1' invention, les 
10 couleurs cyan et magenta disponibles sur la plupart des 
ecrans d'affichage actuels ont ete choisies pour 
resoudre ce probleme- 

Comme represents figure 3b) , deux points cyan C 
superposes donnent un point cyan C ; deux points 
- 15 magenta M superposes donnent un point magenta M ; un 
point cyan C superpose & un point magenta M donne un 
point bleu fonce BF. Le resultat de la table de verite 
de la figure 2) est ainsi obtenu en considerant que "1" 
est represents par le bleu fonce BF qui- est opaque, et 
20 que "0" est. reprSsente par le cyan C ou le magenta M 
qui sont des couleurs claires. Ces couleurs ont ete 
choisies pour obtenir le meilleur contraste possible 
entre les points representes par les points cyan ou 
magenta d'une part et les points bleus fonces d 1 autre 
25 part . 

.'D'autres couleurs peuvent etre envisagees. 
Selon ce mode de realisation de 1' invention, le 
terminal lecteur de carte a puce dispose d'un ecran Eu 
capable d ! afficher des points cyan et magenta. Le 
30 message code MGv affiche sur 1 ' Scran Eu apparait a 
1 ' utilisateur sous forme d'une repartition de points 
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cyan et magenta. Mais lorsque 1 1 utilisateur , muni d'un 
support translucide Cv imprime de points cyan et 
magenta applique ce support Cv sur 1' ecran Eu, la forme 
Mv representant l.e montant M apparait en bleu fonce sur 
5 un fond de points cyan et magenta. 

Le support Cv de 1 'utilisateur et 1 ' Scran Eu du 
terminal lecteur de carte a puce sont de preference de 
m§me format pour faciliter la superposition des points 
du support Cv sur les points de 1 1 ecran Eu. 

10 

Le procede selon 1» invention cotnprend • les etapes 
suivantes : 

1- le terminal lecteur de carte a puce T represents 
figure 4, envoie a la carte a microprocesseur les 

15 informations de transaction qui contiennent le montant 
M de la transaction, 

2- la carte ' genere une suite aleatoire N de 
caracteres alphanumeriques , par exemple un nombre 
aleatoire N sur 4 chiffres decimaux, 

20 3- la carte cree une image en associant le nombre N 

au montant M et transforme cette image sur laquelle le 
nombre N est par exemple juxtapose au montant M, en une 
image codSe ou message code Mci ; 

4- la carte commande l'affichage de ladite image 
25 . codee MCi sur 1 ' ecran Eu du terminal T lecteur de carte 

a puce, 

5- 1 'utilisateur verifie ' avec le masque de 
dSchif frement Cv le montant M de la transaction et' lit 
le nombre N propose par la carte et associe au montant 

30 M (N apparait par exemple sur le cote de M) , 
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6- en cas d'accord sur le montant M, 1 'utilisateur 
entre la valeur N sur le dispositif S de saisie du 
terminal lecteur de carte a puce, 

7- le terminal lecteur de carte a puce transmet la 
5 valeur N a la carte, 

8- la carte verifie que la valeur N regue 
correspond a la valeur N qu'elle a generee, 

9- en ' cas de concordance, la carte lance la 
transaction selon la procedure habituellement utilisee 

10 et donne la preuve de transaction au terminal lecteur. 
de carte a puce. 

Le nombre N utilise par ce procede se substitue au 
code secret habituellement saisi par 1 1 utilisateur sur 
le terminal lecteur de carte a puce. On peut en . ef f et 

15 omettre la procedure relative au nombre N et valider le 
montant par le code secret (etape 6 et suivantes) selon 
la pratique courante. Mais contrairement au code secret 
qui ne varie pas et que le terminal pourrait 
enregistrer et reutiliser f rauduleusement , le nombre N" 

20 varie a chaque transaction et ne peut done etre 
reutilise par le terminal lecteur de carte a puce. 

Selon ce procede, 1 1 utilisateur peut verifier le 
montant M et ne donner son accord que si le montant M 
regu par la carte est le bon montant . 

25 De plus, selon ce procede, on peut empecher une 

fraude par laquelle lors d'une transaction, le 
terminal lecteur de carte a puce afficlie une image 
codee f rauduleusement memorisee, correspondant a une 
transaction precedente de 1 1 utilisateur , ' a la place de 

30 1' image* codee generee par la carte pour cette 
transaction. 
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Par exemple, on suppose que le terminal . lecteur de 
carte puce a dej£ effectue avec 1 ! utilisateur une 
transaction d'un montant M assort i d ! un nombre 
aleatoire N, selon le procede de I 1 invention. 
5 L 1 utilisateur fait ensuite une nouvelle transaction 

pour le meme montant M. 

Une fraude peut consister pour le terminal lecteur 
de carte a puce : 

envoyer un autre montant M 1 & la carte, qui va 
10 ef fectuer . les etapes 2 a 4 du proc£dS de 

l 1 invention. Elle va notamment generer un 
nouveau nombre aleatoire N' pour cette nouvelle 
transaction et creer une image codee 
correspondante Mci 1 , correspondant a M 1 et N 1 . 

- £ faire afficher sur 1 1 ecran Eu du terminal T 
lecteur de carte a puce 1 1 image 'codee Mci de la 
premiere transaction (M,N) , (que le terminal 
lecteur de carte k puce aura f rauduleusement 
20 memorisee) , a la place de I 1 image codee Mci 1 

envoyee par la carte . 

L 1 utilisateur ne peut pas voir la fraude, car avec 
le masque de dechif f rement , il va voir le bon montant 
25 M. II* va done valider la nouvelle transaction, en 
entrant le nombre aleatoire N, selon le procede de 
1 'invention. 

La carte va alors detecter qu f il n'y a pas 
concordance entre le nombre aleatoire N 1 qu'elle a 
30 propose pour la deuxieme transaction et le nombre N 
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10 



qu'elle regoit, et refuser d'effectuer la deuxieme 
transaction. 

Ce procede permet ainsi d' assurer une 
authentif ication de 1 'utilisateur par ia carte et un 
contrSle d'integrite graphique du message pair 
1 'utilisateur . 

Le codage graphique du message est realise par la 
carte a microprocesseur . On a represents sur la figure 
5 le schema fonctionnel d'une carte £ microprocesseur 
susceptible de mettre en ceuvre le codage graphique. 

La carte , a microprocesseur comporte urie units 
centrale 1 qui execute les instructions des programmes 
stockes dans une memoire 2 de type ROM, une memoire de 
15 travail 3 de type RAM, des memoires permanentes 4 de 
type EEPROM et bien stir une interface d' entree-sortie 
5. Les programmes d' application sont souvent stockes 
dans ces memoires 4. Un generateur 6 de nombre 
aleatoire est associe a 1 'unite centrale. Le masque Ci 
20 peut aussi §tre realise par ce generateur et changer a 
chaque transaction ou etre mis en memoire 2 voire en 
memoire 4 . ' 

Ces divers Elements de la carte sont regroupes dans 
un module 10, gSneralement integre dans un support 
25 plastique 20. 

Le masque Cv dont dispose 1 ' utilisateur de la carte 
pourra etre integre au support 20. Cette disposition 
est d'autant plus adaptee pour une carte fonctionnant 
en mode sans contact. Mais pour accomplir l'etape 5 du 
30 procede dans le.cas d'une carte fonctionnant en mode a . 
contact, 1 'utilisateur peut eventuellement ■ retirer la 
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carte a microprocesseur du terminal T dans lequel elle 
est inseree, pour pouvoir disposer du masque Cv. La 
carte peut aussi rester inseree dans le terminal T 
. lorsque celui-ci comprend un ecran plac§ par exemple 
5 sous le masque Cv de la carte lorsqu'elle est inseree. 

La verification accomplie,. 1 'utilisateur rSinsgre 
la carte a microprocesseur dans le terminal T. 

Mais le terminal lecteur de carte a puce 
10 cormaissant le montant M, saisi par le commer<?ant par 
exemple et le message code MCi ou MCv peut deduire le 
masque Ci . 

Pour eviter que le terminal lecteur de carte a puce 
puisse deduire le masque Ci, une solution consiste k le 
15 changer a chaque transaction. II faut alors que 
1 ' utilisateur change son masque Cv en consequence. La 
securite assuree sera alors celle du masque jetable : 
elle sera maximale. Cette solution ne peut §tre 
envisagee si le masque Cv est integrS au support 20 
20 notamment pour des raisons de cofit . 

Plusieurs solutions peuvent §tre envisagees pour 
limiter les connaissances que le termina.1 lecteur de 
. carte a puce peut deduire. 

La carte peut a j outer un bruit aleatoire au message 
25 code transmis au terminal, Ce bruit genere par le 
generateur de nombre aleatoire 6 represents figure 5, 
doit etre suffisamment important pour brouiller le 
* terminal lecteur de carte a puce mais suffisamment 
faible pour ne pas empecher le systeme visuel humain de 
30 reconnaitre la forme representant le montant M. 
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Une autre solution consiste k ce que la carte 
commande que le montant M soit affiche sur l'ecran Eu 
du terminal lecteur de carte & puce a des endroits 
choisis aleatoirement par le generateur 6. 

* 5 Une troisieme possibility est que la carte change 

la police de caracteres pour chaque montant M, de 
maniere aleatoire: La carte disposera alors de 
plusieurs polices de caracteres qui seront choisies 
aleatoirement par le g£n£rateur 6. 

10 Bien sftr ces trois solutions peuvent §tre 

combin^es . 
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■ REVENDI CAT IONS 

1. Module (10) de carte a puce a microprocesseur 
apte ^ echanger un message (M) avec 1 'utilisateur du 
module (10)/ caract^rise en ce qu'il comprend des 
moyens de . codage graphique dudit message (M) par un 

5 masque informatique (Ci) . 

2. Module (10) de carte a puce a . microprocesseur 
selon la revendication precedente, caracterise en ce 
qu ! il comprend en outre un generateur de nombre 

10 • aleatoire et des moyens d' association d'un tel nombre 
au message (M) coder. 

3. Module (10) de carte £ puce £ microprocesseur 
selon l'une des revendi cat ions precSdentes, caracterise 

15 en ce qu ! il comprend des moyens d'ajout d'un bruit 
aleatoire au message cod£. 

4.. Module (10) de carte a puce a microprocesseur 
selon l'une des revendi cat ions precedentes et apte a 
20 etre relie a un ecran (Eu) , caracterise en ce qu ! il 
comprend des moyens de commande de l'affichage du 
message code sur ledit ecran (Eu) . 

5. Module (10) de carte a puce a microprocesseur 
25 selon la revendication precedente, caracterise en ce 
qu'il comprend des moyens de commande de l'affichage du 
message codS & des endroits aleatoires de 1' Scran (Eu) . 
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6. Module (10) de carte a puce ^ microprocesseur 
selon l'une des revendications 4 & 5, le message (M) 
etant un texte alphanumdrique , caractSrise en ce qu f il 
comprend des . moyens . de commande de l'affichage a 
l'ecran (Eu) du message cod<§, selon differentes polices 
de caracteres. 

7. Module (10) de carte a puce & microprocesseur 
selon* l'une des revendications prScedentes, caracterise 
en ce que la carte a puce est une carte de type porte- 
monnaie electronique . 

8. Dispositif de securisation d'un message (M) 
entre un module (10) de carte k puce a microprocesseur 
et son utilisateur, caracterise en ce qu'il comprend un 
module conforme k l'une des revendications precedentes 
et un masque de decodage (Cv) dont dispose 
1' utilisateur, ledit masque de decodage (Cv) etant une 
representation visuelle du masque informatique (Ci) sur 
un support translucide, permettant de dechiffrer 
visuellement le message codg. 

9. Dispositif de securisation d'un message selon la 
revendication precedent e, caracterise en ce que le 

.masque de decodage (Cv) est constitue de plusieurs 
sous -masques . 

10. Dispositif de securisation d'un message selon 
la revendication 8, caracterise en ce que le module est 
integre dans un corps (20) de carte a puce et en ce que 
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le masque de dgcodage (Cv) est egalement integre audit 
corps (20) de la carte a puce, 

11. Systeme de securisation d'un message (M) entre 
5 un module (10) de carte a puce a microprocesseur et son 

utilisateur, . caracterise en ce qu'il comprend un 
dispositif selon l'une des revendications 8 i 10 et un 
ecran d'affichage (Eu) apte a afficher le message code 
gen£re par le module (10) . 

10 

12. Systeme de securisation selon la revendication 
precedente, caracterise en ce que le masque de decodage 
(Cv) est de meme format que 1' ecran (Eu) d'affichage. 

15 13. Procede de securisation de l'echange d'un 

message, entre un module de carte a puce 
microprocesseur comprenant des moyens de codage 
graphique dudit message par un masque inf ormatique, et 
l'utilisateur dudit module disposant lui-m§me d'un 

20 masque de decodage, representation visuelle du masque 
informatique sur un support translucide, l'echange 
entre la carte & microprocesseur et l'utilisateur 
s'effectuant a travers un terminal lecteur de carte §l 
puce disposant d'un ecran d'affichage et d'un 

25 dispositif de saisie et apte £ ^changer avec le module 
de carte a microprocesseur des informations de 
transaction incluant ledit message, caracterise en ce 
qu'il comprend les etapes suivantes : 

a) le terminal lecteur de carte a puce envoi e les 

30 informations de transaction au module, 
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b) le module extrait le message des informations de 
transaction, 

c) le module transforme le message en une image 
codee et cbmmande l'affichage de ladite image codee sur 
1' Scran du terminal lecteur de carte £ puce, 

d) l'utilisateur superpose le masque de dScodage 
sur 1' image cod§e affichee sur l'ecran pour dechiffrer 
le message, 

e) en cas d' accord sur le montant, l'utilisateur 
valide le montant et le module lance la transaction, 
annule la transaction sinon. 

14. Procede de securisation de 1 ' echange d'un 
message selon la revendicat ion ■ precedent e , caracterise 
en ce que 1 ' etape e) est remplacee par les etapes 
suivantes : 

e) en cas d' accord sur le montant, l'utilisateur 
valide . le montant sur le dispositif de saisie du 
terminal qui transmet cette validation au module, sinon 
l'utilisateur annule la transaction, 

f) en cas de validation, le- module lance la 
transaction et donne la preuve de la transaction au 
terminal lecteur de carte k puce, annule la transaction 
sinon. 

15. Procede de securisation de 1 » echange d f un 
message selon la revendication 13, caracterise en ce 
que 1' etape suivante est inseree aprds 1' etape b) : 

le module genere une suite aleatoire N de 
caracteres alphanumeriques et l'associe au message, 
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et en ce que les etapes c) a f ) sont remplacees par 
les etapes suivantes : 

c) le module transforme le message auquel la suite 
N a ete associee; en une image codee et commande 

5 l'affichage de ladite image codSe sur l'ecran du 
terminal lecteur de carte a puce, 

d) 1 ' utilisateur superpose le masque de decodage 
sur I 1 image affichee sur l'ecran pour dechiffrer la 
suite N et le message, 

10 e) en cas de lisibilite de la suite N et d' accord 

sur le montant, 1 ' utilisateur saisit la suite N sur le 
dispositif de saisie du terminal qui transmet N au 
module, sinon 1 ' utilisateur annule la transaction, 

f) le module compare la suite N re<?ue avec la suite 
15 N envoyee, 

g) en cas de concordance, le module lance la 
transaction et donne la preuve de la transaction au 
terminal lecteur de carte a puce, annule la transaction 
sinon. 
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